984389

Macs sind (noch) sicher (I)

21.01.2008 | 15:37 Uhr |

Ein Trojaner, eine zumindest dem Anschein nach heikle Firewall und eine merkwürdige Firmenpolitik Apples – seit Anfang November 2007 hat Apple beim Thema "Sicherheit von Macs" keine gute Figur gemacht.

Seit Jahren ist es vergleichsweise einfach, einen Windows-PC zu hacken, um von dort Daten zu stehlen oder die Kontrolle über den Rechner zu übernehmen. Aber Unix-Systeme wie Mac-OS X (und das als „Festung“ geltende Mac-OS 9) sind nicht unverwundbar. Im aktuellen Fall haben sich die Hacker eine einfache Tarnung ausgesucht, um Mac-Besitzer dazu zu bringen, die Schadsoftware selbst zu installieren. Davor schützt kein Betriebssystem.

Macs und das dazugehörige Betriebssystem sind nicht besonders sicher, aber auch nicht besonders unsicher – selbst wenn manche Information, die seit November 2007 bekannt geworden ist, einen anderen Eindruck erwecken mag. Der neue Trojaner ist eine geschickt gewählte Verpackung für einen Schädling – dagegen hilft in der Regel nur gesunder Menschenverstand beziehungsweise eine Skepsis vor kostenlosen Angeboten im Internet. Die „Application Firewall“ von Mac-OS X 10.5 dagegen erzeugt bei Sicherheitsprofis Verwunderung: Apple hat damit etwas Neues geschaffen, was zwar einfach einstellbar ist, aber möglicherweise nicht den Schutz bietet, den sich Profis und Laien von einer Firewall erwarten.

OSX.RSPlug.A ist keine Videosoftware

Intego: Auf den Internet-Seiten von Intego findet sich seit Anfang November der Hinweis auf den Trojaner OSX.RSPlug.A – plus Werbung für die Antivirensoftware Virusbarrier.
Vergrößern Intego: Auf den Internet-Seiten von Intego findet sich seit Anfang November der Hinweis auf den Trojaner OSX.RSPlug.A – plus Werbung für die Antivirensoftware Virusbarrier.

Ende Oktober/Anfang November 2007 tauchen die ersten Berichte über einen Trojaner auf, der sich auf Macs einnistet. Der Softwarehersteller Intego nennt den Schädling „OSX.RSPlug.A“: Er gibt sich als Videocodec aus, der notwendig ist, um gewisse Pornofilme abzuspielen. Der angebliche Codec wird von Porno-Internet-Seiten zum Download angeboten; wer auf das Standbild des Videos klickt, erhält eine DMG-Datei (eine virtuelle Festplatte), die nach dem Öffnen ein harmlos aussehendes Installationsprogramm zeigt. Startet man die Installation, wird man nach dem Kennwort eines Administrators gefragt und danach läuft unter Mac-OS X 10.4 und 10.5 (scheinbar) alles wie gewohnt. Nur die versprochenen Videos fehlen. Allerdings erhält man in Wirklichkeit keinen neuen Videocodec, sondern ein Internet-Plug-in, das die eigentlich schädliche Software installiert. Das Internet-Plug-in wird automatisch mit allen Browsern geladen, deshalb ist der Schaden in der Regel schon geschehen, wenn man einen Browser nach der Installation des angeblichen Codecs startet. Der Schaden, der durch OSX.RSPlug.A angerichtet wird, ist schnell beschrieben: Die Software ändert die Liste der DNS-Server und startet ein Hintergrundprogramm, das jede Minute prüft, ob die geänderte Liste noch existiert und sie im Zweifelsfall erneut ändert. Da die Hintergrundsoftware dazu im Namen des Benutzers „root“ arbeitet, (root ist der Benutzer, für den es auf einem Unix-Betriebssystem wie Mac-OS X keine Einschränkungen gibt), und geschickt die Automatikfunktionen des Unix-Betriebssystems nutzt, kann man die Änderungen nicht ohne weiteres rückgängig machen. In den beiden Texten am Ende des Artikels erklären wir, wie man den Trojaner erkennt, und welche Schritte nötig sind, um ihn wieder zu entfernen.

OSX.RSPlug.A erkennen

Nicht eindeutig: Eine Kombination aus grauen und schwarzen DNS-Serveradressen (hier in Mac-OS X 10.5) ist ein Indiz, aber noch nicht zwingend der Beweis für die Existenz des Trojaners.
Vergrößern Nicht eindeutig: Eine Kombination aus grauen und schwarzen DNS-Serveradressen (hier in Mac-OS X 10.5) ist ein Indiz, aber noch nicht zwingend der Beweis für die Existenz des Trojaners.

Es gibt zwei weniger eindeutige Merkmale für den Trojaner OSX.RSPlug.A und ein eindeutiges, das man aber nur nach einem relativ komplexen Befehl im Dienstprogramm Terminal erkennt. Ein Anzeichen für die Infektion mit dem Trojaner ist die Datei „plugins.settings“ im Ordner „/Library/Internet Plug-Ins“. Da allerdings Hacker dazu neigen, solche Dateinamen von Zeit zu Zeit zu ändern, versteckt sich der Trojaner möglicherweise hinter einem anderen Dateinamen. Ein anderes Indiz ist ein Eintrag in der Auftragstabelle für den Benutzer „root“, die der Hintergrundprozess cron auswertet. Diese Cron-Tabelle ist normalerweise für den Benutzer „root“ leer; allerdings hinterlassen manche Spezialprogramme dort Spuren, so dass auch dieses Indiz nicht eindeutig ist. Wer die Tabelle zur Sicherheit prüfen will, muss sich als Benutzer mit Verwaltungsrechten (siehe „Sys-temeinstellungen > Benutzer“) anmelden, das Dienstprogramm Terminal starten und dort den folgenden Befehl eintippen:

sudo crontab -l

Wenn man diesen Befehl eingibt und die Eingabetaste betätigt, muss man noch das Kennwort für den gerade aktiven Benutzer eintippen, damit das Unix-System den Befehl ausführt.

crontab: no crontab for root

Erhält man diese Antwort, kann man sich sicher sein, dass der Trojaner auf diesem Mac nicht aktiv ist. Umgekehrt gilt das aber nicht: Nicht jeder Eintrag in der Cron-Tabelle ist ein Hinweis auf OSX.RSPlug.A.

Die einzig eindeutige Methode, den Trojaner zu erkennen, ist ein Vergleich zwischen den Systemeinstellungen und der Information, die ein Unix-Befehl liefert – das ist aber nur unter Mac-OS X 10.5 möglich:

scutil

show State:/Network/Global/DNS

...

exit

Der Befehl scutil liefert Informationen darüber, welche DNS-Server das Betriebssystem verwendet, um Internet-Namen wie www.macwelt.de in die nummerische Form zu übersetzen. Die ebenfalls nummerischen Adressen dieser DNS-Server werden dem Mac normalerweise vom Internet-Provider zugeteilt, wenn man sich ins Internet einwählt. Der Trojaner aber setzt in diese Liste eigene Adressen ein, die zu DNS-Servern gehören, die vom Hacker selbst betrieben werden. Damit kann der Hacker den Browser zu völlig anderen Servern schicken (Englisch „scam“). Wer beispielsweise auf der Suche nach www.ebay.com war, wurde vom Trojaner zu einer gefälschten Internet-Seite geleitet, die ähnlich aussieht wie Ebay USA, die aber nur dazu dient, Benutzername und Kennwort von Ebay-Teilnehmern in Erfahrung zu bringen (Englisch: „phishing“).

Verdächtig: Die zweite Zeile mit den fünf Sternen am Anfang ist der gefährliche Eintrag, der darauf hinweist, dass der Trojaner auf diesem Mac aktiv ist.
Vergrößern Verdächtig: Die zweite Zeile mit den fünf Sternen am Anfang ist der gefährliche Eintrag, der darauf hinweist, dass der Trojaner auf diesem Mac aktiv ist.

Wenn der Trojaner aktiv ist, stehen vor oder nach den normalen DNS-Einträgen weitere. Zum Vergleich kann man (nur unter Mac-OS X 10.5) die Liste der DNS-Einträge in den Systemeinstellungen prüfen (unter dem Punkt „Netzwerk“, wenn links die Schnittstelle gewählt ist, über die die Internet-Verbindung hergestellt wird).

<dictionary> {

ServerAddresses : <array> {

0 : 192.168.13.13

1 : 192.168.13.14

}

DomainName : officemuc.idg

}

Ist der Trojaner aktiv, sieht man unter Mac-OS X 10.5 in den Systemeinstellungen eine Liste von DNS-Servern, wobei die Einträge teilweise in grauen Buchstaben und teilweise in schwarzen dargestellt werden.

Vorsicht ist der beste Schutz

Automatik: Unter Mac-OS X 10.4 wird die Firewall automatisch aktiv, wenn man in den Systemeinstellungen im Bereich „Sharing“ einen Dienst aktiviert.
Vergrößern Automatik: Unter Mac-OS X 10.4 wird die Firewall automatisch aktiv, wenn man in den Systemeinstellungen im Bereich „Sharing“ einen Dienst aktiviert.

Wir erwarten, dass Trojaner wie OSX.RSPlug.A in Zukunft vermehrt auftauchen werden. Der beste Schutz davor ist – wie so oft – eine gesunde Vorsicht vor unbekannten (aber meist kostenlosen) Angeboten im Internet. Im Fall von OSX.RSPlug.A war das Lockmittel ein Pornofilm, der sich erst nach der angeblichen Installation einer Zusatzvideosoftware ansehen lässt. Das klingt erst einmal noch nicht verdächtig, doch solche Videosoftware entwickeln heute in der Regel große Firmen wie Apple, Adobe oder Microsoft (beziehungsweise Telestream) oder gut bekannte Open-Source-Gruppen wie Xvid. Unbekannte Videosoftware und generell jede andere Software, sollte man auf dem Mac erst installieren, wenn man sich an mehreren Informationsstellen informiert hat, ob der Softwareentwickler vertrauenswürdig ist. Dazu genügt in der Regel schon eine einfache Recherche bei Google, Yahoo und ähnlichen Suchhilfen. Besonders misstrauisch sollte man werden, wenn eine unbekannte Software bei der Installation nach dem Kennwort eines Administrators verlangt – gibt man das Kennwort ein, stehen dem Installationsprogramm alle Ordner offen. Es ist dann sogar möglich, Dokumente auf der Festplatte zu ändern, zu löschen oder sie über Internet an jemand anderen zu schicken. Deshalb sollte man das Kennwort eines Administrators nur eintippen, wenn die Software aus einer vertrauenswürdigen Quelle stammt. Ist man sich unsicher, klickt man bei der Frage nach dem Kennwort auf den Knopf „Abbrechen“ und beendet das Installationsprogramm.

Die gute alte Firewall in Mac-OS X 10.4

Komplex: Ist die Firewall von Mac-OS X 10.5 aktiv, wird man bei bestimmten Programmen gefragt, ob die Firewall sie von außen erreichbar machen soll.
Vergrößern Komplex: Ist die Firewall von Mac-OS X 10.5 aktiv, wird man bei bestimmten Programmen gefragt, ob die Firewall sie von außen erreichbar machen soll.

Gegen einen Trojaner wie OSX.RSPlug.A hilft keine Firewall. Denn der Trick des Angreifers besteht in der Maskerade: Das Installationsprogramm gibt vor, einen Videocodec zu installieren und fragt dazu nach dem Kennwort des Administrators. Eine Firewall ist dann nützlich, wenn ein Hacker versucht, sich ein bereits laufendes Hintergrundprogramm zu nutze zu machen. Eine Reihe dieser Programme laufen unter Mac-OS X immer beziehunsweise werden dann aktiv, wenn man in den Systemeinstellungen unter Sharing zusätzliche Dienste startet. Der Trick der Hacker ist dabei meistens, besondere Datenpakete an den Mac zu schicken, die das Hintergrundprogramm abstürzen lassen und zu hoffen, dass danach automatisch die Unix-Befehlszeile startet.

Gegen solche Angriffe kann man unter Mac-OS X 10.4 die Firewall-Software ipfw starten (über „Systemeinstellungen > Sharing > Firewall“). Um sie zu konfigurieren, ist aber einiges an Grundwissen über Netze und die Grundsprache des Internets „TCP/IP“ notwendig. Im Lieferzustand von Mac-OS X 10.4 ist ipfw ausgeschaltet, sobald man aber in den Systemeinstellungen unter „Sharing“ einen Dienst oder „Service“ aktiviert, wird ipfw automatisch ebenfalls aktiviert.

Um es kurz zu machen, funktioniert ipfw unter Mac-OS X 10.4 so, dass Rechner aus dem Internet keine Datenpakete an den Mac schicken können, wenn nicht vorher der Mac umgekehrt eine Verbindung ins Internet hergestellt hatte. Sprich: ipfw blockiert alle Anfragen, die Mac-OS X von außen erreichen, sprich: von einem anderen Rechner im Firmennetz oder von einem Rechner im Internet. Ausgenommen davon sind unter Mac-OS X 10.4 nur die Dienste, deren Port-Nummern man explizit in den Systemeinstellungen unter „Sharing > Firewall“ einträgt.

Die Definition über Nummern ist aber komplex und führt oft zu Fehlern, da bei mancher Kommunikation (zum Beispiel Audio- oder Videochat) mehrere Port-Nummern verwendet werden. Manche vordefinierten Einträge in der Liste von Mac-OS X 10.4 sind unvollständig; zum Beispiel jener für die Fernsteuerung mit Apple Remote Desktop, was dazu führt, dass die Fernsteuerung gelegentlich den Dienst verweigert.

Mac-OS X 10.5 funktioniert anders

Eingeschaltet: Unter Mac-OS X 10.5 sollte man die Firewall einschalten. Der Kompromiss zwischen Komfort und Sicherheit ist die hier gewählte Option „Zugriff festlegen“.
Vergrößern Eingeschaltet: Unter Mac-OS X 10.5 sollte man die Firewall einschalten. Der Kompromiss zwischen Komfort und Sicherheit ist die hier gewählte Option „Zugriff festlegen“.

Als Lösung für Mac-OS X 10.5 hat Apple eine zweite Firewall „Application Firewall“ konstruiert und ipfw abgeschaltet. Die Application Firewall setzt höher an als ipfw: In der Grundeinstellung lässt sie alle Datenpakete aus dem Internet durch. Selbst wenn man einen der Dienste in den Systemeinstellungen unter „Sharing“ startet, bleibt die Application Firewall inaktiv. Nur wer unter Mac-OS X 10.5 in den Systemeinstellungen zum Bereich „Sicherheit“ wechselt, kann die Application Firewall einschalten. Das Konzept ist anders als unter Mac-OS X 10.4: Statt kryptischer Ziffern sperrt oder erlaubt man den Zugriff für einzelne Softwarepakete. Wer rigide ist, wählt in „Systemeinstellungen > Sicherheit“ die Option „Nur notwendige Dienste erlauben“. Dann sind von außen noch genau drei Hintergrundprogramme erreichbar: configd, mdnsresponder und racoon. Damit aber ist man in iChat, Skype unsichtbar und im Firmennetz kann man den Mac dann nicht mehr als Fileserver verwenden.

Deshalb dürfte in vielen Fällen der Punkt „Zugriff auf bestimmte Dienste und Programme festlegen“ die bessere Wahl sein. Dann fügt das Betriebssystem bestimmte Dienste automatisch in die Liste ein (alle, die in „Systemeinstellungen > Sharing“ aktiv sind) und fragt bei anderen Programmen nach, ob man sie in die Liste aufnehmen will.

Diese Rückfrage wird von einer relativ komplizierten Rückfrage eingeleitet, außerdem fehlt – bis auf einen Hinweis im Kleingedruckten – das Wort „Firewall“. Wer hier auf den Knopf „Erlauben“ klickt, fügt diese Applikation in die Liste in den System-einstellungen ein und erlaubt, dass Datenpakete an sie geschickt werden. Wer statt dessen den Knopf „Nicht erlauben“ wählt, fügt diese Applikation ebenfalls in die Liste ein – mit dem Unterschied, dass alle Datenpakete an diese Software von der Firewall abgefangen werden.

TIPP Hinter den Kulissen geschieht bei dieser Rückfrage ein zweiter Schritt: Mac-OS X 10.5 erstellt eine spezielle Prüfziffer (auch: digitales Zertifikat), die diese Software markiert. Ändert sich etwas am Programmcode der Software, weigert sich das Betriebssystem kommentarlos diese zu starten. Bei Version 10.5 führt dieses Zertifikat zu Problemen bei der Chatsoftware Skype und beim Online-Spiel World of Warcraft; beide enthalten eigene Prüfroutinen, die das Zertifikat als Beschädigung ansehen und deshalb nicht mehr funktionieren. Seit Mac-OS X 10.5.1 verwendet Apple einen anderen Algorithmus für das Zertifikat, was den Fehler behebt.

Die Kritik an der Firewall

Kryptisch: Seit Mac-OS X 10.5.1 müssen Änderungen an der Firewall erlaubt sein, wenn man eine Software in die Ausnahmeliste der Firewall aufnimmt.
Vergrößern Kryptisch: Seit Mac-OS X 10.5.1 müssen Änderungen an der Firewall erlaubt sein, wenn man eine Software in die Ausnahmeliste der Firewall aufnimmt.

Sicherheitsexperten stören mehrere Dinge an der Firewall von Mac-OS X 10.5. Erstens die fehlende Automatik, die bei älteren Varianten des Betriebssystems eingreift, wenn man den Mac zum Server macht (in dem man einen der Dienste in „Systemeinstellungen > Sharing“ startet). Vor 10.5 startet das Betriebssystem automatisch die Firewall und fügt den jeweiligen Dienst zur Ausnahmeliste der Firewall hinzu. Mit Mac-OS X 10.5 geschieht das nur, wenn man vorher unter „Systemeinstellungen > Sicherheit > Firewall“ die Option „Zugriff ... festlegen“ aktiviert. Zweiter Kritikpunkt ist, dass Programme, die auf vorhandener Software aufbauen, zum Beispiel Java-Software und Programme für die Unix-Befehlszeile, nicht gezielt konfiguriert werden können. Sie erben automatisch die Einstellungen der vorhandenen Software. Speziell für Befehlszeilenprogramme bedeutet das, dass sie sofort nach dem Start für Datenpakete von außen erreichbar sind. Damit steigt in den Augen vieler Experten das Risiko für Trojaner-Attacken, weil ahnungslose Mac-Besitzer möglicherweise ein Unix-Befehlszeilenprogramm starten, das damit auch bei eingeschalteter Firewall von außen erreichbar ist.

Einige Schutzempfehlungen für alle Fälle

Verbergen: Aktiviert man das Ankreuzfeld „Tarnmodus aktivieren“, dann ist der Mac für Hacker weniger sichtbar. „Port scans“ zur Ermittlung verwundbarer Computer laufen ins Leere.
Vergrößern Verbergen: Aktiviert man das Ankreuzfeld „Tarnmodus aktivieren“, dann ist der Mac für Hacker weniger sichtbar. „Port scans“ zur Ermittlung verwundbarer Computer laufen ins Leere.

Derzeit ist die Gefahr für Mac-Besitzer gering, weil noch immer wenig Schädlinge für Mac-OS X existieren. OSX.RSPlug.A hat aber gezeigt, dass Hacker einen Trojaner mit vergleichsweise einfachen Mitteln erzeugen können. Dagegen ist allerdings noch kein sicherer Schutz erfunden; selbst Intego hat einen Tag gebraucht, bevor die hauseigene Virenschutzsoftware Virusbarrier den Trojaner erkennen und die gefährlichen Dateien löschen konnte. Gegen Hacker-Angriffe auf Mac-OS X schützt man sich unter Version 10.5 am besten, wenn man die Firewall aktiviert („Systemeinstellungen > Sicherheit > Firewall“) und sich für „Nur notwendige Dienste erlauben“ entscheidet oder die komfortablere Version „Zugriff ... festlegen“ wählt. Zusätzlich sollte man in den Optionen für die Firewall immer das Ankreuzfeld „Tarnmodus aktivieren“ wählen. Demnächst zeigen wir, wie man unter Mac-OS X 10.5 zusätzlich die (noch immer vorhandene) Firewall ipfw startet und konfiguriert. Auf der Heft-CD haben wir schon in dieser Ausgabe drei der dafür möglichen Hilfsprogramme beigelegt (Sunshield, Flying Buttress und Waterroof). Die Arbeit mit dieser Software würde den Rahmen dieses Artikels weit übersteigen – außerdem sind alle diese Programme bisher nur in Englisch erhältlich. Parallel dazu reichen wir einen Test der Software Little Snitch 2 von Objective Development nach, einer hervorragenden Software bei der Kontrolle jener Internet-Verbindungen, bei denen Software auf dem eigenen Mac die Kommunikation startet.

Relativ wirksamen Schutz (ähnlich einer Firewall) bieten außerdem alle Internet-Router – unabhängig davon, ob die Verbindung zum Provider über ISDN, DSL oder einen anderen Weg hergestellt wird. Jeder Router enthält eine Firewallsoftware, die in der Regel einen Großteil aller Angriffe aus dem Internet abwehrt, bevor sie den Mac erreichen.

Fazit

Die Firewall von Mac-OS X 10.5 ist gewöhnungsbedürftig. Wenn man die (bisher nur in Englisch vorhandene) Dokumentation von Apple liest, wird einiges klar. Unter anderem, dass diese Firewall keinen absoluten Schutz vor Angriffen aus dem Internet bietet – ebensowenig wie die bisher verwendete Firewall ipfw. Neben dem technischen Schutz gibt es einen, der auch im Internet gute Dienste leistet: der gesunde Menschenverstand.

Lesen Sie morgen im zweiten Teil Grundlagen zu TCP/IP und lernen Sie, wie Sie den Schädling OSX.RSPlug.A wieder entfernen

0 Kommentare zu diesem Artikel
984389